Full image

DÉFINITION DU VIRUS

Type de virus : menace persistante avancée (APT)

Qu'est-ce que Carbanak ?

Carbanak est le terme que nous utilisons pour définir une campagne de style APT (menace persistante avancée) ciblant (entre autres) les institutions financières. Nous disons de style APT mais l'attaque n'est pas, à proprement parler, avancée. La principale caractéristique des pirates est la persistance.

Ils infiltrent le réseau de la victime pour y rechercher le système critique qu'ils pourront utiliser pour soutirer de l'argent. Après avoir dérobé une somme considérable d'argent (pouvant aller de 2,5 à 10 millions de dollars par entité), ils abandonnent la victime.

Dans quelle mesure cette attaque diffère-t-elle d'une attaque de style APT ?

Dans ce type d'attaque, les criminels visent principalement l'argent et pas les données.

Les criminels de Carbanak responsables du cybervol ont utilisé des techniques provenant de l'arsenal d'attaques ciblées. Le complot marque le début d'une nouvelle étape dans l'évolution des activités des cybercriminels : les utilisateurs malveillants dérobent de l'argent directement aux banques et évitent de cibler les utilisateurs finaux.

Kaspersky Lab détecte-t-il toutes les variantes de ce programme malveillant ?

Oui, nous détectons les échantillons Carbanak tels que Backdoor.Win32.Carbanak et Backdoor.Win32.CarbanakCmd.

L'ensemble des produits et solutions de Kaspersky Lab destinés aux entreprises détectent les échantillons Carbanak connus. Pour renforcer le niveau de protection, nous recommandons d'opter pour le module de protection proactive de Kaspersky Lab intégré à chacun des produits et solutions modernes.

De manière générale, nous recommandons également :

  • De ne pas ouvrir d'e-mails suspects, notamment s'ils contiennent une pièce jointe ;
  • De mettre à jour votre logiciel (dans cette campagne, aucune faille zero-day n'a été utilisée)
  • D'activer l'analyse heuristique dans vos suites de sécurité. Ainsi, de tels échantillons nouveaux seront plus susceptibles d'être détectés et bloqués, dès le départ.

Comment identifier l'intrusion ?

Vous trouverez dans notre livre blanc technique des indicateurs de compromission.

Kaspersky Lab encourage toutes les organisations financières à analyser rigoureusement leurs réseaux afin d'identifier la présence de Carbanak et, en cas de détection, de signaler l'intrusion auprès des services de police.

Jusqu'à présent, les criminels semblent avoir deux objectifs principaux :

  • Collecte d’informations
  • Faciliter d'autres types d'attaques

Pour le moment, des victimes de Regin ont été identifiées dans 14 pays :

  • Algérie
  • Afghanistan
  • Belgique
  • Brésil
  • Fidji
  • Allemagne
  • Iran
  • Inde
  • Indonésie
  • Kiribati (République des)
  • Malaisie
  • Pakistan
  • Russie
  • Syrie
Nous avons recensé un total de 27 victimes différentes, à noter tout de même que la définition d'une victime fait référence ici à une entité complète, notamment à l'intégralité de son réseau. Le nombre de PC uniques infectés par Regin est, de toute évidence, beaucoup plus élevé.

Est-ce une attaque commanditée par un État-nation ?

Compte tenu de la complexité et du coût lié au développement de Regin, il est probable que cette opération soit soutenue par un État-nation.

Quel est le pays à l'origine de Regin ?

Il reste très difficile d'identifier les attaquants professionnels à l’origine de Regin.

Existe-t-il des indicateurs de compromission pour aider les victimes à identifier l'intrusion ?

Oui, ces informations ont été intégrées à notre  livre blanc technique.